quinta-feira, 26 de novembro de 2009

E-mail marketing só não é spam com dupla opção de receber (double opt-in)

Hoje recebi uma reclamação de uma empresa, porque a denunciei em um fórum público por envio de emails não solicitados. O dono da empresa alegou que já me conhecia e perguntou muito indignado "porque eu não falei com ele antes de publicar a denúncia".

Devolvo a pergunta: por que ele não falou comigo antes de começar a me enviar emails não solicitados - a me enviar SPAM?

O que os empresários brasileiros precisam saber é que não adianta reclamar:

Uma vez que você faz a opção de comprar listas de emails para promover seu site e seus produtos, você está sujeitando sua empresa ao risco de ser denunciada pelos destinatários.

No caso em questão, foi uma denúncia em fórum público que irritou o empresário, mas ele precisa entender que esse é o menor dos males. Os emails dessa empresa são filtrados pelo GMAIL, sendo entregues diretamente à pasta de SPAM.

Ficar irado comigo não muda o fato de que 
o Google está dizendo para todo mundo que sua empresa envia SPAM.



A única forma de email marketing que não deve ser considerada SPAM é a que envolve a DUPLA OPÇÃO DE RECEBER (double opt in).


O double opt in funciona da seguinte forma:


1 - Você pergunta ao visitante do seu site, no momento em que ele preenche um formulário, se ele quer receber seus informativos. Se ele não marcar a opção, você não envia emails para ele e ponto final.


2 - Após ser feita a opção de receber, você envia um e-mail para o endereço informado, com um link de confirmação. Você só começará a enviar emails para o endereço dessa pessoa DEPOIS que ela visitar o link. Afinal, algum engraçadinho pode ter visitado o seu site e digitado o endereço de outra pessoa, com a intenção de incomodá-la.


Ou seja, o visitante do seu site precisa afirmar que quer receber suas "newsletters" e confirmar clicando em um link que receberá em sua caixa postal. Antes disso, você não enviará emails para essa pessoa.


Se você resolver "pegar um atalho" comprando endereços de email e enviando mensagens em massa sem pedir autorização, não poderá reclamar se o endereço do seu site começar a aparecer nas listas negras de spammers.


Aliás, embora alguns spammers estejam afirmando o contrário com a intenção de confundir, o "Manual de Boas Maneiras" da ABEMD (Associação Brasileira de Marketing Direto) é claro e inequívoco a esse respeito:


"3. Opt in.

O primeiro recebimento é muito importante, porque marca o início da relação. É preciso ter permissão prévia (opt-in) antes do envio da primeira mensagem ao receptor. No caso de existir prévia e comprovável relação comercial ou social entre o Remetente e este Receptor, o envio de mensagem também é permitido."


Ou seja, sem sofisma, não envie e-mails sem permissão prévia e você nunca entrará em listas negras de spammers. Se decidir fazê-lo, esteja pronto para arcar com as conseqüências de ver o nome de sua empresa ao lado dos piores golpistas, estelionatários e demais criminosos da internet.

quarta-feira, 18 de novembro de 2009

Que vergonha, Americanas.com!



Hein? Que história é essa de precisar de 7 dias - SETE DIAS! - para parar de enviar e-mails para minha caixa postal?

Não existe motivo no mundo que justifique esse descalabro. Se você clica num link de opt-out, o sistema tem que descadastrar imediatamente o seu e-mail e você tem que parar de recebẽ-lo imediatamente, sem atrasos, desculpas ou blá-blá-blá.

A Americanas.com se comporta como um SPAMMER dos mais vadios e pilantras ao exibir essa vergonhosa mensagem em seu website quando clicamos no link praticamente invisível de descadastramento em suas mensagens promocionais.

Vergonhoso e odiento. A partir de hoje, todos os e-mails que eu vier a receber da Americanas.com serão denunciados com spam.

terça-feira, 17 de novembro de 2009

"Você foi sorteado para testar o novo Orkut" é um vírus!

Este golpe é engenhoso.

O email diz o seguinte:

"Olá!

Você foi um dos sorteados para experimentar o novo orkut.

Lançamos uma nova versão do orkut, venha testá-la. Você encontrará novas funcionalidades, navegação mais rápida e os mesmos grandes amigos!

Quer ir para lá agora? Clique aqui e teste o novo orkut agora mesmo!"

O link para o arquivo "www.orkut.com" não é "http://www.orkut.com", por isso sabemos que se trata de "phishing".

O truque usado por esses spammers aposta no fato de que a maioria dos usuários de hoje em dia não sabe ou não lembra que a extensão ".com" indica um tipo de arquivo executável do MS-DOS/Windows. Para a maior parte das pessoas, ".com" é apenas a extensão de um endereço de website!

Logicamente o arquivo www.orkut.com é um vírus, confira o resultado do escaneamento em http://www.virustotal.com/pt/analisis/aa28931f48e7643bf6f2a0a80493bd99f53c8d5e29e7b61e3a9dbde1297d7e0e-1258440514

A lição deste caso é que você deve também incluir a extensão ".com" em sua lista negra de arquivos potencialmente infectados com vírus, caso ainda não o tenha feito.

quarta-feira, 11 de novembro de 2009

Esqueceu sua senha naquele site em que nunca se cadastrou?

O título deste artigo não é uma pegadinha, mas um novo tipo de golpe detectado pela AVIRA e denunciado no artigo Social Engineering and the redefinition of spam (Engenharia social e a redefinição do spam). O primeiro passo do golpe consiste em cadastrar e-mails em algum serviço web, de preferência um serviço de mídia social, sem a solicitação do usuário.

Em seguida, o spammer envia aquele típico e-mail de boas vindas: "Parabéns por se cadastrar em nosso site, visite seu perfil no endereço http://...". Esse e-mail é suficiente para despertar a curiosidade de muita gente. Ao chegar ao link do e-mail, a vítima do spam chegará a página de login, onde poderá clicar no link "Esqueci minha senha": se a pessoa não se cadastrou no site, é lógico que ela não se lembrará de uma senha que nunca criou!

Os spammers que aplicam esse golpe são criativos e insistentes porque, caso você não clique no link de "recuperação de senha", eles enviam um e-mail de "notificação de comentários" em "sua página". Isso deve deixar muita gente curiosa o suficiente para cair no golpe. Se nada disso funcionar, eles ainda tentam enviar um e-mail para ressetar a senha.

Segundo a AVIRA, esse tipo de golpe está sendo aplicado em serviços como LinkedIn, Orkut, Twitter, Ning e outros. Os e-mails realmente vêm do domínio envolvido, o que o impede de serem filtrados pelos programas antispam.

Assim, a regra para evitar esse tipo de ataque é:

Se você não se lembra de ter feito o cadastro em um site ou serviço, muito provavelmente é porque não fez mesmo! 

Confiar na própria memória, neste caso, é muito mais seguro do que confiar em um spammer.

sábado, 7 de novembro de 2009

Bem vindo ao mundo das réplicas vagabundas – Série “Os piores spammers do mundo” - parte 2

Captura de tela do site de criminosos Watch Shop


Você certamente já recebeu e-mails desse pessoal que oferece cópias falsificadas de famosas marcas de relógios, como Rolex, Cartier e Breitling, entre outras. As quadrilhas que enviam esse tipo de spam mail estão entre as mais perigosas do mundo e são compostas por bandidos da pior espécie.

Captura de tela do site de criminosos Diamond Replicas

Exagero? Basta ver o que dizem as investigações sobre os métodos empregados por esse pessoal. Para começar, essas operações de produção e venda de produtos falsificados são ramificações do crime organizado internacional, sendo usadas para financiar operações de tráfico de drogas e armas, entre outros crimes. A produção desses bens falsificados é freqüentemente feita sob condições de trabalho escravo ou semi-escravo.

Captura de tela do site Exquisite Replicas

Edward Kelly, da Tileke & Gibbins International, uma empresa de advocacia especializada no combate à falsificação, conta ter visto, durante uma operação policial, trabalhadores acorrentados às máquinas e recebendo comida em potes para alimentar cachorros.

Cada mercadoria tem seu preço. Se alguém consegue vender um produto de luxo pela metade ou menos do preço normal, é porque está cortando custos onde não deveria. No caso, dos produtos falsificados, eles começam cortando os direitos trabalhistas e os direitos humanos das pessoas que produzem suas mercadorias.

Captura de tela do site de produtos falsificados Prestige Replicas

Mas os “cortes de custos” não param por aí. Quando esses falsificadores começam a agir na internet, nenhum crime é grande demais. Para começar, apresentam sites com aparência profissional, como esses que você vê ilustrando este artigo, mas a única forma que utilizam para promovê-los é o envio diário de milhões de spam mails, através de milhares de computadores infectados com vírus e cavalos de tróia. Usam milhares de domínios, a maior parte deles hoje em dia localizados na China, para fugir à aplicação das leis americanas e européias.

Captura de tela do site criminoso Luxury Replicas

Esses bandidos também não têm escrúpulos de usar seus dados de cartão de crédito para “ir às compras” em seu nome, nem oferecem nenhum tipo de garantia quanto à qualidade dos produtos oferecidos. Embora eles digam em todo o site que garantem isso ou aquilo, normalmente incluem, em uma página de difícil acesso ao usuário, um termo de isenção de responsabilidade em que, na prática, desmentem todas as garantias que dizem oferecer.



Na maior parte desses sites, ao decidir comprar o produto, você abrirá uma página de pedido em que exigem que você envie seus dados de cartão de crédito através de uma conexão insegura do tipo “http” em vez da conexão segura “https” obrigatória em toda loja virtual legítima.

Assim, não importa se estão vendendo relógios, bolsas ou jóias: fuja de vendedores de produtos falsificados. Na melhor das hipóteses, você receberá em sua casa um produto vagabundo de qualidade inconfundivelmente inferior, nem de longe parecidos com os que eles mostra\fFm nas fotos do site, e não terá a quem reclamar.

quinta-feira, 5 de novembro de 2009

Sites de Phishing: feitos para roubar seus dados

E-mail falso que copia os e-mails oficiais do Facebook

Se você recebeu algum e-mail nos últimos 15 dias, provavelmente já se deparou com uma mensagem como a da figura acima. Imitando de forma perfeita os e-mails de notificação do serviço de rede social Facebook, o e-mail alega que você atualizar seus dados de login. Ao clicar no link, o seu navegador web abrirá um endereço como http://www.facebook.(DIVERSOS CARACTERES ALEATÓRIOS).com/ . Veja um exemplo de uma dessas páginas:

Site falso (phishing site) com aparência idêntica à página de login do Facebook

Uma cópia perfeita perfeita da página de login do Facebook. Repare no alerta vermelho na barra de navegação do navegador Opera, indicando tratar-se de um site falso.

Como já vimos, os sites falsos - chamados de "phishing sites" - divulgados por spam são um problema generalizado na internet. Basicamente, o que os golpistas por trás desses emails e sites procuram é usar a credibilidade de empresas conhecidas para roubar você.

Phishing usando a marca do Banco Brasil

Os danos provocados pelo phishing afetam diretamente as pessoas que, de boa fé, respondem aos emails e preenchem os dados nos sites falsos, mas também causam prejuízos às empresas cujos nomes são usados para praticar esses crimes. Você sabe que conquistar a confiança das pessoas é uma tarefa difícil e trabalhosa. Uma reputação de confiabilidade é um ativo que você adquire após anos de esforços e muito investimento em sua imagem.

Phishing usando a marca do banco Santander

Os spammers que utilizam os golpes de phishing não se incomodam em destruir todo esse trabalho e investimento para assaltar os clientes dessas empresas. Eles são estelionatários, ladrões de identidade, bandidos tão desprezíveis quanto qualquer assaltante que aborda as pessoas nas ruas para roubar o dinheiro suado de suas carteiras.

Phishing usando a marca do HSBC

O mais incrível é que é extremamente simples evitar os golpes de phishing: basta observar o endereço do link! Quando você passa o mouse sobre um link em um e-mail, normalmente você pode ver, na parte inferior da tela, o endereço real do link. Caso não consiga achar esse endereço por algum motivo, clique COM O BOTÃO DIREITO DO MOUSE no link e, depois, clique em "Copiar link" ou "Copiar endereço do link" e cole em um editor de textos, como o bloco de notas do Windows, por exemplo.

Site de phishing finge ser do Orkut

Se o endereço do link não coincidir EXATAMENTE com o endereço real do site, trata-se de um site falso!

Entenda que um spammer pode copiar o estilo, o visual, os textos e todos os demais elementos do site de uma empresa... Mas há uma coisa que eles não podem roubar: o endereço do site original!

Se você sabe que o endereço do site do seu banco é www.NOMEDOBANCO.com.br, não abra qualquer link que não leve diretamente a esse endereço.

Phishing: site falso finge ser do MySpace

Os spammers, na tentativa de enganar, vão fazer de tudo para confundi-lo. Por exemplo:

1 - Criando subdomínios com o nome do site: www.NOMEDOBANCO.123abc.com.br . Neste caso, o domínio é 123.abc.com.br, sem nenhuma relação com o site www.NOMEDOBANCO.com.br

2 - Inserindo pequenos erros de digitação no endereço do site: www.NOMEDOBONCO.com.br

Não importa. Confira atentamente o endereço do site. Se não for idêntico, fuja dele. Em caso de dúvida, ligue para a empresa (pegue o número na LISTA TELEFÕNICA: nunca ligue para um número de telefone que tenha recebido em um e-mail suspeito!) e confirme a solicitação do e-mail antes de clicar em qualquer coisa, pois vários desses sites de phishing instalam cavalos de tróia em seu computador sem que você perceba, bastando acessar a página do site fajuto.

Obs.: As duas primeiras imagens deste artigo são capturas da tela do meu computador. As demais imagens são capturas do site www.phishtank.com, uma organização dedicada a combater a prática do phishing.